Ransomware
Komplexität und Visibility-Lücken in Power Automate
Angesichts der Verbreitung der Low-Code-Automatisierung wird Microsoft Power Automate zu einem attraktiven Ziel für Cyberkriminelle. Wie nutzen Cyberkriminelle das Tool aus, und welche Schutzmaßnahmen sind erforderlich?
Save to Folio
Mit Microsoft Power Automate haben Nutzer die Möglichkeit, Arbeitsabläufe zu automatisieren und verschiedene Services zu integrieren, wodurch Aufgaben in Apps wie Outlook, SharePoint und Teams optimiert werden. Diese Automatisierung reduziert zwar den manuellen Aufwand, führt jedoch zu neuer Komplexität bei der Verwaltung und Sicherung dieser automatisierten Prozesse.
Die Komplexität von Power Automate kann zu erheblichen Sichtbarkeitslücken und blinden Flecken führen. Die Fähigkeit des Tools, Aktionen über verschiedene Plattformen hinweg zu automatisieren, bedeutet, dass jede Fehlkonfiguration oder jeder unbefugte Zugriff dazu führen kann, dass unüberwachte Automatisierungen kritische Aufgaben innerhalb der Umgebung ausführen.
Für Fälle, in denen keine APIs verfügbar sind, bietet Power Automate Funktionen zur robotergestützten Prozessautomatisierung (RPA), die es ermöglichen, über die UI-Automatisierung mit Desktop-Anwendungen zu interagieren. Dies ist nützlich für ältere Software, bringt jedoch Herausforderungen wie Zuverlässigkeitsprobleme mit sich, wenn sich UI-Elemente ändern.
Das Tool unterstützt auch Office-Skripte in Excel Online, mit denen Nutzer Tabellenkalkulationsvorgänge wie die Dateneingabe oder die Berichterstellung automatisieren können. Dies erleichtert die wiederholte Datenbearbeitung, erfordert jedoch einige Skriptkenntnisse, um alle Vorteile voll auszuschöpfen.
Ein weiterer Aspekt ist AI Builder, mit dem Workflows KI-gestützte Funktionen wie Dokumentenverarbeitung oder Texterkennung enthalten können. Dies führt aber auch zu Abhängigkeiten von den KI-Modellen von Microsoft.
Power Automate lässt sich über vorgefertigte Konnektoren auch mit Diensten von Drittanbietern verbinden, wodurch die Automatisierung von Prozessen über verschiedene Plattformen hinweg möglich wird. Unternehmen müssen jedoch den Zugriff ordnungsgemäß verwalten, da schlecht konfigurierte Konnektoren zu Sicherheitslücken führen können.
Risiken der Automatisierung
Böswillige Nutzer – beispielsweise Insider oder kompromittierte Konten – können böswillige Abläufe erstellen, die sich auf Aufgaben wie die dauerhafte Exfiltration von Informationen, die Überwachung der Kommunikation oder verdeckte Kanäle zur Kontrolle anderer Teile der Infrastruktur eines Angreifers konzentrieren. Ein Angreifer, der beispielsweise einen Business Email Compromise (BEC)-Angriff startet, könnte Power-Automate verwenden, um Mail-Korrespondenz seiner Opfer zu exfiltrieren und mit ihr zu interagieren.
Die einfache Erstellung von Abläufen in Power Automate bedeutet, dass jeder mit Zugriff potenziell Workflows erstellen kann, die mit sensiblen Systemen interagieren oder Daten an externe Services übertragen. Dies schafft ein falsches Gefühl der Sicherheit, da Power Automate Konnektoren für Mail, Dateisysteme, HTTP-Endpunkte und Datenbanken unterstützt und somit potenziell Zugriff auf kritische Geschäftsdaten gewährt.
Sichtbarkeitslücken in Power Automate
Eine der schwierigen Aufgaben, die wir auch als einen der schwächsten Bereiche in Power Automate einschätzen, ist die Sichtbarkeit von Automatisierungsaktionen. Das Power Platform Admin Center bietet zwar einen allgemeinen Überblick über die Flow-Aktivitäten, es mangelt ihm jedoch an Granularität. Beispielsweise haben Administratoren von Microsoft Teams-Kanälen keine Möglichkeit festzustellen, ob die Unterhaltungen im Kanal durch ein Power Automate-Skript überwacht und/oder exfiltriert werden. Die Mandantenadministratoren können wahrscheinlich sehen, dass ein Ablauf ausgeführt wurde und welcher Nutzer ihn ausgelöst hat, aber sie können den Zugriff auf die Transparenz nicht an die Nutzer delegieren, die beispielsweise Microsoft Teams-Kanäle verwalten.
Microsoft protokolliert zwar mehrere wichtige Ereignisse im Zusammenhang mit Nutzer- und Systemaktivitäten, darunter die Erstellung, Bearbeitung und Löschung von Abläufen, Änderungen an Berechtigungen und Aktionen zum Beitritt von gehosteten RPA-Bots. Diese Protokolle sind im Microsoft Purview-Compliance-Portal verfügbar und können zur Überwachung exportiert oder in ein SIEM-System (Security Information and Event Management) importiert werden. Viele Sicherheitsteams verfügen jedoch nicht über eine vollständige Abdeckung, und wenn keine Flusstelemetrie erfasst und analysiert wird, besteht nur eine teilweise Transparenz.
Aus Sicht des Angreifers
Es ist unmöglich, Power Automate außerhalb des gesamten Office 365-Ökosystems zu betrachten. Dafür gibt es Möglichkeiten, bestehende kriminelle Geschäftsprozesse zu skalieren und neue, leicht monetarisierbare zu entwickeln. Die kriminellen Märkte verfügen bereits über Tools zum Sammeln, Verkaufen und Kategorisieren von Unternehmenskonten und Assets im Zusammenhang mit der Office 365-Infrastruktur und weisen auf das Vorhandensein der Power Automate-Funktionen hin.
In der Anfrage zum Kauf solcher Konten sehen wir oft die erwarteten Parameter in Bezug auf die Zielorganisation, wie Branchen, Umsatzniveaus und den geografischen Standort ihrer Vermögenswerte. Power Automate sorgt nicht nur für Skalierbarkeit, sondern ermöglicht es den Angreifern auch, eine Vielzahl traditioneller Kontrollen für Cybersicherheit und Geschäftsprozessintegrität zu umgehen. Der Kontext der Power Automate-Diskussionen in der kriminellen Unterwelt deutet auf eine frühe Massenakzeptanz der Technologie hin, wobei erfahrenere Akteure deren Wert und Potenzial gut verstehen. Die Bandbreite der Beiträge in den cyberkriminellen Foren zeigt, dass die Nachfrage in diesem Markt oft höher ist als die Möglichkeiten, die entsprechenden Assets bereitzustellen.
Automatisierte Tools zur Kontenüberprüfung (sogenannte „Checker“) sind bereits in der Lage, das Vorhandensein von Microsoft Power Automate zu erkennen, was bedeutet, dass jeder, der die Funktionen von Power Automate nutzen möchte, die von Zugangs-Brokern angebotenen Konten nach diesen Kriterien filtern kann.
Auch Ransomware-Akteure diskutieren über das Tool und seine Funktionen. So wurden beispielsweise im Forum „Russian Anonymous Marketplace“ (RAMP), das in engem Zusammenhang mit Ransomware-Gruppen steht, Software-as-a-Service-Angriffstechniken (SaaS) genannt, die Power Automate nutzen können. In einem anderen Beitrag im Cracked-Forum fanden wir Diskussionen darüber, wie man Anhänge aus Outlook herunterladen kann, was mit Hilfe der Power-Automate-Automatisierung möglich ist.
In den Untergrundforen werden auch verschiedene Schulungsressourcen zu Power Automate diskutiert. Im iranhack-Forum gibt es beispielsweise mehrere Threads, in denen die Funktionen von Power Automate diskutiert und entsprechende Schulungsmaterialien zum Download bereitgestellt werden.
Eine Vielzahl von Szenarien lässt sich leicht umsetzen:
Sammeln sensibler Daten
Power Automate ist in der Lage, Aktionen zu erstellen, die durch Schlüsselwörter ausgelöst werden, die in Microsoft Teams Chat-Abläufen erscheinen. Es ist möglich, die Erfassung und Exfiltration sensibler Informationen (auch ohne Wissen der Nutzer) zu automatisieren, z. B. die Überwachung von Anmeldedaten, die über das Chat-System des Unternehmens ausgetauscht werden (was nicht ungewöhnlich ist). Ebenso können Trigger, die beim Hochladen neuer Dokumente in SharePoint ausgelöst werden, so konfiguriert werden, dass sie automatisch auf potenziell sensible Dokumente oder extrahierte Informationen zugreifen, diese analysieren und sogar exfiltrieren.
Versteckte Datenexfiltration
Power Automate kommuniziert mit Komponenten von Drittanbietern und mandantenübergreifenden Microsoft-Ressourcen und eignet sich so zur Automatisierung der Exfiltration versteckter Daten. Mit Hilfe verschiedener Trigger lassen sich Office 365-Umgebungen überwachen und die Exfiltration von Dokumenten, Nachrichten, Mail, Mail-Analysen und mehr automatisieren. Die KI-Integration ermöglicht die Erstellung komplexer Prozesse, die eine vorläufige Datenanalyse durchführen, bevor die Daten an eine externe Organisation gesendet werden. Daher sind erweiterte Überwachungsfunktionen erforderlich, um diese Art von Verhalten identifizieren und darauf reagieren zu können.
Denial of Service of Executive Orders (DoSEO)
Angreifer könnten Power Automate auch nutzen, um Posts über Instant Messaging (IM) und Mail von wichtigen kompromittierten Personen zu automatisieren und so Mitarbeitern verwirrende Anweisungen zu erteilen. Während Akteure beispielsweise eine groß angelegte Attacke etwa mit Ransomware durchführen, ließen sich gleichzeitig Nachrichten im Namen einer kompromittierten IT-Abteilung versenden, in denen alle aufgefordert werden, schnell ein neues „Update“ zu installieren, welches sie zusenden (tatsächlich aber verbreitet dieses den Angriff.
Ein ähnliches Szenario ist bei einer größeren Exfiltration denkbar, bei der eine kompromittierte Führungsperson die gesamte Geschäftsleitung anweist, kurzfristig Präsentationen für eine Besprechung vorzubereiten – indem sie alle Abteilungen dazu auffordert, daran zu arbeiten, lenkt sie die Aufmerksamkeit von den Angreifern ab. Solche Aktivitäten können Ressourcen von Mitarbeitern beanspruchen, und die echten Anweisungen aufgrund der hohen Anzahl böswilliger, die in ihrem Namen automatisiert versendet wurden, ignoriert oder mit Verzögerungen bearbeitet.
Viele dieser Angriffe können so konzipiert sein, dass sie zum kritischsten Zeitpunkt eine Verzögerung auslösen, um die Auswirkungen zu maximieren: Dies kann während eines wichtigen Ereignisses wie einer Produkteinführung oder am Ende des Geschäftsjahres sein.
Ausnutzung von Berechtigungen
Während die Active Directory-Nutzer selbst in ihren Berechtigungen eingeschränkt sind, können bestimmte Power Apps über Berechtigungen verfügen, die andere Zugriffsarten ermöglichen als die dem Nutzer gewährten. So wird die Logik in Power Apps dazu ausgenutzt, um auf Ressourcen zuzugreifen, auf die der Nutzer normalerweise aufgrund der Komplexität der Verwaltung der Berechtigungsmodelle keinen Zugriff hat. Das bedeutet, dass derselbe legitime Nutzer über normale Schnittstellen nicht auf bestimmte Assets zugreifen kann, während diese eingeschränkten Ressourcen über Power Automate zugänglich sind.
Es gibt eine Vielzahl weiterer Szenarien, und wir empfehlen, die umfassenderen Beispiele im Anhang zu lesen.
Schutzmaßnahmen
Sicherheitsteams müssen strenge Zugriffskontrollen, eine robuste Überwachung und eine kontinuierliche Prüfung automatisierter Workflows durchsetzen, damit ihre Unternehmen effektiv auf neue Bedrohungen reagieren, die auf das komplexe Office 365-Ökosystem abzielen.
Die folgenden Best Practice sind ebenfalls für den Schutz hilfreich:
- Als erste Maßnahme sollte geprüft werden, ob das Tool in der Umgebung überhaupt erforderlich ist. Wenn nicht, sollte es mithilfe von Gruppenrichtlinien deaktiviert werden.
- Wo PAD erforderlich ist, muss der Zugriff streng kontrolliert werden. Dazu gehört eine rollenbasierte Zugriffskontrolle (RBAC), die sicherstellt, dass nur autorisierte Nutzer Flows erstellen, ändern oder freigeben können.
- Richtlinien zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP) müssen für die gesamte Power Platform definiert und gepflegt werden. Damit lässt sich verhindern, dass sensible Daten zwischen geschäftskritischen Systemen und nicht geschäftlichen Konnektoren wie persönlichen Mail- oder Cloud-Speicherdiensten übertragen werden.
- Die Überwachung der Ablaufausführung ist eine weitere wichtige Verteidigungsschicht. Mit integrierten Analysen und benutzerdefinierten Sicherheitsrollen können Admins verfolgen, wer Flows ausführt, was diese Flows tun und ob sie mit dem erwarteten Verhalten übereinstimmen.
- Mechanismen für die Erkennung dienen der Identifizierung von Anzeichen von Missbrauch. Dazu gehören Flows, die von nicht standardmäßigen Pfaden aus ausgeführt werden, das Starten von Befehlszeilen-Tools wie cmd.exe oder powershell.exe oder das Ändern von Registry, um Persistenz herzustellen. Obwohl die native Telemetrie von Power Automate begrenzt ist, können diese Verhaltensweisen oft durch Endpunktüberwachung und Verhaltensanalyse erkannt werden.
Zudem bietet die Trend Vision One™-Plattform einen umfassenden Ansatz zur Erkennung und Abwehr von Power Automate-Missbrauch. Die Plattform liefert eine umfassende Transparenz, die zur Korrelation von Signalen über Endpunkte, Identitäten und Netzwerkschichten hinweg genutzt werden kann. Dieser mehrschichtige Ansatz ist unerlässlich, um Missbrauch der Automatisierung zu erkennen, der andernfalls unbemerkt bleiben könnte.